如何搭建Web应用防火墙(WAF)测试环境

问题描述

要使用WAF对网站进行防护,并测试WAF是否阻断了攻击行为。

问题分析

WAF会对Http(S)请求在到达源站前进行检测和过滤,确保到达源站的每个请求有效且安全,对无效或有攻击行为的请求进行记录或隔离; 要使用WAF对网站进行防护并测试WAF的防护效果,首先需要满足如下三个条件:

  1. 已经在火山引擎搭建好源站
  2. 已经购买WAF实例
  3. 所需防护域名已备案,且未添加到WAF

然后才能使用WAF进行防护源站并测试。

解决方案

本示例采用负载均衡型的WAF实例,WAF防护的域名采用本地host文件方式进行解析,客户端与负载均衡实例处于相同子网内。

首先要配置好火山引擎的负载均衡,业务流量能够正常进行转发,且负载均衡的转发规则使用了要接入WAF的域名,如下:

alt

1、到WAF控制台-网站设置,点击复制均衡接入,如下: alt

2、输入防护域名,此域名需要已经备案 alt

3、选择对应的负载均衡器,如下: alt

4、配置完成后,如下所示: alt

5、到防护策略-漏洞防护将防护模式改为拦截,如下: alt

6、在与负载均衡实例相同子网的客户端机器编辑/etc/hosts文件,如下: alt

7、客户端访问域名进行测试,如下:

alt

正常使用curl可以访问成功。

8、构造一个具有攻击特征的请求进行测试,如下:

alt

可以看到请求被拦截。

如果您有其他问题,欢迎您联系火山引擎技术支持服务

335
0
0
0
相关产品
评论
未登录
看完啦,登录分享一下感受吧~
暂无评论